nginx配置ssl双向验证

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量359 收藏
点赞数
分类专栏: 学习笔记 文章标签: ssl phpmyadmin nginx server ca
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love_yu_er/article/details/71459250
版权

配置一个需要认证才能访问的phpmyadmin为例

# mkdir /usr/local/nginx/ca
# cd /usr/local/nginx/ca
# mkdir newcerts private conf server //其中newcerts子目录将存放CA签署(颁发)过的数字证书(证书备份目录)。而private目录用于存放CA的私钥。目录conf只是用于存放一些简化参数
用的配置文件,server存放服务器证书文件。

# vim conf/openssl.conf
内容输入如下

default_ca       = foo                   # The default ca section  

[ foo ]   
dir              = /usr/local/nginx/ca         # top dir  
database         = /usr/local/nginx/ca/index.txt          # index file.  
new_certs_dir    = /usr/local/nginx/ca/newcerts           # new certs dir  

certificate      = /usr/local/nginx/ca/private/ca.crt         # The CA cert  
serial           = /usr/local/nginx/ca/serial             # serial no file  
private_key      = /usr/local/nginx/ca/private/ca.key  # CA private key  
RANDFILE         = /usr/local/nginx/ca/private/.rand      # random number file  

default_days     = 365                     # how long to certify for  
default_crl_days = 30                     # how long before next CRL  
default_md       = sha256                  # message digest method to use  
unique_subject   = no                      # Set to 'no' to allow creation of  
                                     # several ctificates with same subject.  
policy           = policy_any              # default policy  

[ policy_any ]   
countryName             = match  
stateOrProvinceName     = match  
organizationName        = match  
organizationalUnitName  = match  
localityName            = optional  
commonName              = supplied  
emailAddress            = optional

[ca]

# openssl genrsa -out private/ca.key

# openssl req -new -key private/ca.key -out private/ca.csr
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:ZHEJIAN
Locality Name (eg, city) []:HANGZHOU
Organization Name (eg, company) [Internet Widgits Pty Ltd]:BYM
Organizational Unit Name (eg, section) []:BYM
Common Name (e.g. server FQDN or YOUR name) []:bym.phpmyadmin.com
Email Address []:admin@bym.com

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:直接回车
An optional company name []:直接回车

# openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
# echo FACE > serial
# touch index.txt
# openssl ca -gencrl -out /usr/local/nginx/ca/private/ca.crl -crldays 365 -config “/usr/local/nginx/ca/conf/openssl.conf”

[server]

# openssl genrsa -out server/server.key
# openssl req -new -key server/server.key -out server/server.csr
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:ZHEJIAN
Locality Name (eg, city) []:HANGZHOU
Organization Name (eg, company) [Internet Widgits Pty Ltd]:BYM
Organizational Unit Name (eg, section) []:BYM
Common Name (e.g. server FQDN or YOUR name) []:bym.phpmyadmin.com
Email Address []:admin@bym.com

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:直接回车
An optional company name []:直接回车

# openssl ca -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config “/usr/local/nginx/ca/conf/openssl.conf”

[client]

# mkdir -p /usr/local/nginx/ca/users/
# cd /usr/local/nginx/ca/users/
# openssl genrsa -des3 -out client.key 2048 (password:123456)

# openssl req -new -key client.key -out client.csr
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:ZHEJIAN
Locality Name (eg, city) []:HANGZHOU
Organization Name (eg, company) [Internet Widgits Pty Ltd]:BYM
Organizational Unit Name (eg, section) []:BYM
Common Name (e.g. server FQDN or YOUR name) []:bym.phpmyadmin.com
Email Address []:admin@bym.com

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:直接回车
An optional company name []:直接回车

# openssl ca -in /usr/local/nginx/ca/users/client.csr -cert /usr/local/nginx/ca/private/ca.crt -keyfile /usr/local/nginx/ca/private/ca.key -out /usr/local/nginx/ca/users/client.crt -config “/usr/local/nginx/ca/conf/openssl.conf”
# openssl pkcs12 -export -clcerts -in /usr/local/nginx/ca/users/client.crt -inkey /usr/local/nginx/ca/users/client.key -out /usr/local/nginx/ca/users/client.p12 (password:1111)

[nginx配置]

server {
    listen 443 ssl;
    server_name bym.phpmyadmin.com;
    index index.html index.htm index.php;
    root /var/www/phpMyAdmin/;
    charset utf-8;

    ssl on; 
    ssl_certificate         /usr/local/nginx/ca/server/server.crt;
    ssl_certificate_key     /usr/local/nginx/ca/server/server.key;
    ssl_client_certificate  /usr/local/nginx/ca/private/ca.crt; 

    ssl_session_timeout 5m; 
    ssl_verify_client on; 

    ssl_protocols           SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers             ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers on; 

    location ~ .*\.php {
      fastcgi_intercept_errors on;
      fastcgi_pass  127.0.0.1:9000;
      fastcgi_index index.php;
      include fastcgi.conf;
    }

}
love_yu_er
关注
专栏目录
nginx配置ssl证书认证
qq_45142744的博客
07-08 393
错误笔记 错误1 [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx 错误2 nginx: [alert] could not open error log file: open() "/data/webserver/test/sbin/nginx/logs/error.log" failed (20: Not a directory) 2021/07/08 15:34:15 [emerg] 31978#0
nginx 配置ssl双向证书验证
ronon77的专栏
11-18 1921
1. 安装 nginx 1.1 nginx 包及其依赖包下载 出于模块的依赖性,Nginx 依赖以下三个包: gzip 模块需要 zlib 库(http://www.zlib.net/); rewrite 模块需要 pcre 库(http://www.pcre.org/); ssl 功能需要 openssl 库(http://www.openssl.org/); 分别下载它们的...
nginx配置ssl双向验证的方法
09-30
主要介绍了nginx配置ssl双向验证的方法,需要的朋友可以参考下
Nginx配置客户端SSL双向认证
yazhiye的专栏
12-10 4056
转自:https://www.cnblogs.com/qiumingcheng/p/13282145.html 对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书并配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服.
Nginx配置https双向认证
CyborgLin的博客
09-01 4377
https双向认证原理: 网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。 一.生成自签名根证书 创建根证书私钥: openssl genrsa -out root.key 1024 创建根证书请求文件: openssl req -new -out root.csr -key root.key ############注意############## 根证书的Common Name填写root就可以,根证书的这个字段和.
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 2446
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
ssl 认证失败的最有效地解决方案
zhiqiang_xiong的博客
05-09 9460
问题: 官方描述: 通过对传输层进行128-256位加密,确保网络传输数据安全。使用https加密协议访问网站,为客户端(浏览器) 到服务器端之间搭建一条加密通道,实现高强度双向加密传输,保证用户机密信息安全,防止用户信息、财务信息等重要数据的窃取或篡改。换句话说是安装了SSL证书之后数据的安全更有保障 认证服务器真实身份。安装过由第三方权威机构颁发的SSL证书,在浏览器地址栏可显示安全锁标识,点击可查询网站的真实身份,另外有些安装EVSSL证书网站,整个地址栏会变成绿色,一眼即可看出该网站安装了
ssl证书认证失败的原因和解决办法
a38417的博客
02-29 1906
证书不受信任:如果服务器使用的SSL证书不是由受信任的证书颁发机构(CA)签发的,浏览器会将其视为不受信任的证书,从而阻止访问。证书链不完整:当浏览器检查SSL证书时,它会检查证书链的完整性。确认证书来源:确保服务器上的SSL证书是由受信任的CA签发的。完善证书链:确保服务器上的SSL证书具有完整的证书链。配置错误:服务器配置错误,如错误的证书文件路径或错误的密钥文件路径,也可能导致SSL证书认证失败。如果证书过期,需要更新证书。证书过期:SSL证书有一定的有效期,一旦过期,就会导致认证失败。
Nginx+Tomcat配置SSL双向验证示例
03-18
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...
Nginx双向SSL认证配置详解
04-09
### Nginx双向SSL认证配置详解 #### 一、引言 随着网络安全意识的提高,SSL/TLS协议在Web服务器中的应用越来越广泛。双向SSL认证不仅保护了服务器免受未授权访问,还确保了客户端的身份安全可靠。本文将详细介绍...
Nginx ssl 安全增强配置
dendy的博客
03-22 1928
Nginx ssl 安全增强配置 参考 https://cipherli.st/ 直接复制后发现本地api 无法使用 Nginx ssl_protocols TLSv1.3;# Requires nginx >= 1.13.0 else use TLSv1.2 ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/dhparam.pem;...
nginx配置ssl双向认证详解
远玖的博客
11-16 8279
nginx配置ssl双向认证详解 需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 一、首先修改openssl配置的参数  ##没安装openssl需要先安装 vim  /etc/pki/tls/openssl.cnf #下面只列出配置文件中和自建C
nginx配置反向代理验证ssl证书 双向认证
weixin_45548465的博客
05-15 6205
适用于公司内部一些业务系统对安全性要求比较高,业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 修改openssl配置参数 vim /etc/pki/tls/openssl.cnf 下面只列出配置文件中和自建CA有关的几个关键指令 dir=/etc/pki/CA #CA的工作目录 database=$dir/index.txt #签署证书的数据记录文件,下面会生成index这个文件 new_certs_dir=$dir/n
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8744
问题1:ssl_client_certificate配置CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证书认证配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
firefox+linux+nginx搭建server与client通过证书双向认证环境
weixin_30652897的博客
11-03 224
  项目中需要搭建一个server和client基于证书的双向认证环境。由我来做,我也不会。   经过一晚上的研究,基本摸清了(知其然不知其所以然)。做下笔记。 基本环境:   1.安装nginx。   2.安装openssl。 生成证书:   首先建立一个工作目录,这里以我的工作目录为例。(/home/myca/),然后执行如下命令。建立生成证书的路径文件结构,这是由openssl的...
nginx配置ssl单-双向验证 nginx https ssl证书配置
梦想起飞的地方.........
04-26 2305
1、安装nginx 参考《nginx安装》:http://www.ttlsa.com/nginx/nginx-install-on-linux/ 如果你想在单IP/服务器上配置多个https,请看《nginx 同一个IP上配置多个HTTPS主机》 2、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同 1 2 3 4 5 Country Name
使用Nginx实现HTTPS双向验证的方法
fjz_lihuapiaoxiang的博客
12-19 9054
单向验证双向验证的区别: 单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。 双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。 详细的握手过程: 单向验证 浏览器发送一个连接请求给安全服务器。 1、服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。 2、客户浏览器检查服务器送过来的证书是否是
Nginx系列之支持SSL认证
qiaotl的博客
09-28 4454
通过实际例子演示方式介绍Nginx如何支持SSL认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值